Правда ли, что от социальной инженерии нельзя защититься? Отвечают разрушители мифов
Третий выпуск телепередачи «Разрушители мифов кибербезопасности» посвящен разоблачению популярных заблуждений насчет социальной инженерии и фишинга. Что это такое и как избежать атак с психологической манипуляцией, ведущий программы Алексей Марков обсудил со специалистом по кибербезопасности и конкурентной разведке Андреем Масаловичем.
Как известно, целями социальной инженерии обычно становятся получение доступа к конфиденциальным данным, шпионаж и хищение финансовых средств.
«Наш с вами процессор, мозг кроманьонца, был запущен примерно 40 000 лет назад и с тех пор ни разу не апгрейдился, — рассуждает гость эфира. – Мы его носим с собой 40 000 лет, причем, похоже, в бета-релизе. В нем есть уязвимости: ленность, алчность, зависть, гнев, гордыня, чревоугодие, прелюбодеяние, уныние и от себя я бы еще добавил глупость. Главная уязвимость, это 1500 лет назад уже выяснили, — гордыня. Как только кто-то думает: «при наших-то бюджетах» или «я такой умный, как меня это может коснуться», то его можно брать голыми руками. Собственно, все приемы воздействия на человека – это эти уязвимости».
Атака с использованием социальной инженерии всегда строится по одной схеме: перехватить внимание, создать яркий образ, вызвать неконтролируемую эмоцию и спровоцировать целевое действие.
Если говорить о компании, то самыми уязвимыми сотрудниками, по оценке Андрея Масаловича, являются секретари руководителей, а также неуверенные пользователи ПК, постоянно прибегающие к помощи системного администратора, например, работники бухгалтерии. По мнению эксперта, таким людям часто достаточно позвонить и прикрикнуть на них, чтобы они уже были готовы сообщить свой логин и пароль. Наконец, третий тип уязвимого работника – это человек среднего возраста с хорошей мотивацией, которые боятся сделать что-то не так и оказаться на плохом счету у руководителя.
По ходу эфира Андрей Масалович посоветовал, как изменить свое отношение к информационной безопасности, чтобы случайно не выдать конфиденциальную информацию, перечислил необходимые технические меры для предотвращения массовых утечек и даже рассказал, как противостоять целевым атакам.
«Самое главное – тренировать не техническую осведомленность, а бдительность», — резюмировал Андрей Масалович.
Полная версия эфира доступна на телеканале «Про Бизнес» по ссылке и на YouTube-канале ГК «Эшелон».